Falhas em controladores deixam dispositivos IoT e OT vulneráveis

Pesquisas realizadas pelo Nozomi Networks Labs com especial foco em dispositivos de Internet das Coisas (IoT) e Tecnologias Operacionais (OT) revelaram 13 vulnerabilidades na segurança dos Baseboard Management Controllers (BMCs). Ao explorar essas falhas, invasores podem executar código remotamente com privilégios, ganhando controle do host gerenciado.

Esses controladores (BMCs) são SOCs (System-on-Chips) suplementares usados em monitoramento e gerenciamento remotos. Devido à interface de rede dedicada e à associação com componentes de hardware críticos (por exemplo, chipset da placa-mãe), os BMCs podem executar operações de sistema totalmente remotas, como interação com teclado e mouse diretamente do bootstrap, controle de energia do sistema, reflash do firmware do BIOS , entre outras.

Anteriormente encontrados apenas em placas-mãe de servidores, hoje os BMCs podem ser adotados também por dispositivos IoT e OT. Um dos fornecedores desse tipo de solução é a taiwanesa Lanner especializada em aplicações embarcadas, que fornece a placa de expansão IAC-AST2500A com funcionalidades BMC e firmware MegaRAC SP-X da American Megatrends (AMI). Essa placa de expansão apresenta um aplicativo Web por meio do qual é possível controlar totalmente os hosts gerenciados, bem como o próprio BMC.

Foram encontradas na interface Web do IAC-AST2500A 13 vulnerabilidades que afetam a versão 1.10.0 do firmware padrão do Lanner IAC-AST2500, exceto uma (CVE-2021-4228) que foi encontrada na versão 1.00.0. Desse total, cinco são classificadas como críticas. Outras falhas também foram descobertas, mas ainda estão em processo de correção e serão divulgadas posteriormente pelo Nozomi Networks Labs.

Com base em duas vulnerabilidades (CVE-2021-44467 e CVE-2021-26728), é possível iniciar cadeias de ataque em que o invasor executa código remotamente com privilégios.

Depois de compartilhar todas as vulnerabilidades com Lanner, o fornecedor desenvolveu versões de firmware BMC atualizadas para o IAC-AST2500A que resolvem todos os problemas descritos pelo Nozomi Networks Labs. A versão corrigida depende estritamente do dispositivo em uso, então é recomendado entrar em contato com o suporte técnico da Lanner para receber o pacote apropriado.

Caso não seja possível aplicar a correção nos dispositivos afetados, o Nozomi Networks Labs recomenda o uso de firewall ou regras de controle de acesso à rede para restringir o alcance apenas  ao pessoal confiável ou para monitorar ativamente o tráfego de rede por meio de sistemas de detecção de intrusão.

O Nozomi Networks Labs alerta que os BMCs são uma maneira interessante de monitorar e gerenciar sistemas de modo conveniente, sem exigir acesso físico, tanto no campo da TI quanto nos domínios da IoT e da OT. No entanto, essa conveniência é conquistada às custas de uma superfície de ataque mais ampla que pode gerar mais riscos se não for adequadamente protegida.

Mais vulnerabilidades, agora em SDK

Um relatório publicado pela Recorded Future em abril de 2022 detalhou uma atividade suspeita de intrusão na rede elétrica da Índia, envolvendo dispositivos IoT comuns como vetor usado para se firmar em redes OT e implantar códigos mal-intencionados.

Ao investigar essa atividade de ataque, pesquisadores da Microsoft identificaram um componente vulnerável e encontraram evidências de riscos para a cadeia de suprimentos que podem afetar milhões de organizações e dispositivos.

A Microsoft apontou que o componente vulnerável é o servidor Web Boa, usado para acessar configurações, consoles de gerenciamento e telas de login em dispositivos. Apesar de ter sido descontinuado em 2005, esse servidor continua sendo usado no desenvolvimento de dispositivos IoT. Uma razão para isso pode ser sua inclusão em SDKs populares com funções essenciais que operam SOCs implementados em microchips. Componentes vulneráveis como os servidores Boa e SDKs são frequentemente distribuídos dentro dos dispositivos, contribuindo para disseminar vulnerabilidades nas cadeias de suprimentos.

Dados da plataforma Microsoft Defender Threat Intelligence identificaram mais de 1 milhão de componentes do servidor Boa expostos na Internet em todo o mundo durante uma semana.

Sem contar com manutenção, as vulnerabilidades conhecidas do servidor Web Boa facilitam a ação de invasores para ganhar acesso silencioso às redes e coletar informações. Além disso, muitos usuários podem não saber que seus dispositivos usam o esse servidor descontinuado e que atualizações de firmware e patches não abordam as vulnerabilidades conhecidas.

A Microsoft recomenda as seguintes diretrizes para manter a segurança das redes:

• Aplicar os patches nos dispositivos vulneráveis ​​sempre que possível.

• Utilizar recursos de descoberta e classificação de dispositivos para identificar aqueles com componentes vulneráveis e definir fluxos de trabalho para aplicar os patches apropriados.

• Estender a detecção de vulnerabilidades e riscos além do firewall.

• Reduzir a superfície de ataque ao eliminar conexões desnecessárias de dispositivos IoT à Internet.

• Usar segmentação para evitar que invasores se movam lateralmente pelas redes e comprometam mais ativos após a invasão. Dispositivos IoT e de redes críticos devem ser isolados com firewalls.

• Fazer verificação proativa dos antivírus para identificar cargas mal-intencionadas nos dispositivos.

• Configurar regras de detecção para identificar atividades mal-intencionadas sempre que possível.